"Wir haben in Deutschland eine relativ starke IT-Sicherheitsindustrie, die natürlich auch Netzwerksicherheitsprodukte macht, Firewalls und so weiter. Cloud-Dienste - sei es dann die Netzwerk-Infrastruktur, sei es die Hardware Infrastruktur - da haben wir sicherlich in Deutschland keinen Anbieter, der das machen kann."
So schätzt Thomas Hemker von Symantec die Situation ein. Deshalb wurde auch die Forderung nach deutschen Cloud-Anbietern mit Rechenzentren in Deutschland und größerer Unabhängigkeit von amerikanischen und chinesischen Hardwareherstellern ziemlich intensiv diskutiert auf der IT-SA, der IT-Sicherheitsmesse in Nürnberg. Das ist aber eine falsch geführte Diskussion, findet Sicherheitsexperte Christian Nern von der IBM.
"Was sind für typische Vorfälle, für Angriffe, für Schadcode, für typische Security-Verhaltensweisen im deutschen Markt da? Wie sind die branchenspezifischen? Deutschland ist ein sehr starkes Industrieland. Damit sind sicherlich andere Voraussetzungen als in anderen Ländern da. Und diese Information muss natürlich schon auch lokal spezifisch sein, um dann Sicherheit gewährleisten zu können.
Da ist es wichtig sicher zu sein, dass Unternehmen, deutsche Unternehmen, geschützt werden, zum Beispiel auch gegen Datenklau aus dem Ausland. Eine nationale Diskussion ist falsch, sondern man muss sich überlegen: Was gibts heute schon an Mechanismen, auch an Infrastruktur für Cloud? Und was ist auf der anderen Seite auch gerade security-spezifisch wichtig, was eben Deutschland betrifft?"
EU-Datenschutzgrundverordnung ist nur ein Anfang
Also Abschied von der nationalen IT-Souveränität, die einfach nicht mehr realisierbar ist. Aber um so wichtiger ist die Forderung nach international sehr hohen Sicherheitsstandards. Die EU-Datenschutzgrundverordnung ist da nur ein Anfang, meint Christian Nern:
"Die Datenschutzgrundverordnung bedeutet ja nicht nur generell kritische Infrastrukturen, sondern das heißt wann immer was mit Daten passiert, muss ein Unternehmen eine Anzeigepflicht haben. Die Unternehmen brauchen ein Verständnis: Was ist schützenswert und wie gehe ich mit Daten um? Und wie ist meine Security, meine Sicherheit überhaupt?
Wir stellen heute eher fest, dass Sicherheit ein IT-Thema ist und kein Business-Thema ist. Und gerade die Datenschutzgrundverordnung zeigt sehr stark, dass durch die Meldepflicht ja sämtliche Vorstände, sämtliche Geschäftsführer in der Pflicht sind, diese zu melden und anzuzeigen."
Das Sicherheitsthema aus der Technikecke herauslösen
Dadurch wird das Thema "IT-Sicherheit" aus der Technik-Ecke herausgelöst. Es wird zu einer Überlebensfrage für die Unternehmen. Und dieser Druck ist offenbar notwendiger denn je, um endlich vernünftige neue Sicherheitsstandards durchzusetzen. Gegenwärtig scheitert zum Beispiel die Einführung der neuen Version 1.3 des sicheren Transportprotokolls TLS an einer Unverträglichkeit mit sehr verbreiteten Sicherheitsboxen. Ein Unding sei das, findet Laurence Pitt von Juniper Networks:
"Der Wechsel von Version 1.2 des Sicherheitsprotokolls TLS auf Version 1.3 ist umstritten. Das ist ein heißes Thema. Wir müssen jetzt sicherstellen, dass die Menschen in unserem Gewerbe diese Diskussion nachvollziehen können. Und diese Diskussion muss auf Social-Media-Plattformen und in den Blogs geführt werden. Da muss erklärt werden, welchen Einfluss dieser Wechsel hat. Das ist weniger eine technische Frage, sondern eher eine Frage, wie diese neue Version des Sicherheitsprotokolls sich auf unsere Geschäfte auswirkt."
Die Antwort auf diese Frage ist einfach: Kommt es hier zu weiteren Verzögerungen, wird es gefährlich. Aber das gilt auch für das Aufspüren und Schließen von Sicherheitslücken, das insbesondere hierzulande von der Politik viel zu stark vernachlässigt wurde.
"Der Druck der Unternehmen auf die Politik wird sehr viel stärker werden"
Wenn zum 25. Mai 2018 die EU-Datenschutzgrundverordnung in Deutschland umgesetzt wird, wird der Druck auf die Politik, die digitalen Infrastrukturen besser zu schützen, nach und nach steigen, meint der Fachjournalist Peter Welchering:
"Das wird einige Zeit und einige Gerichtsprozesse dauern, meinen die Experten. Aber dann wird der Druck der Unternehmen auf die Politik sehr viel stärker werden, als das heute der Fall ist. Denn wenn Vorstände und Geschäftsführer bei IT-Sicherheitsvorfällen zum Teil auch persönlich haften müssen, dann werden sie massiver fordern, dass zum Beispiel Sicherheitslücken gemeldet werden müssen und dann geschlossen werden. Da fehlt heute noch der persönliche Leidensdruck."
Wenn zum 25. Mai 2018 die EU-Datenschutzgrundverordnung in Deutschland umgesetzt wird, wird der Druck auf die Politik, die digitalen Infrastrukturen besser zu schützen, nach und nach steigen, meint der Fachjournalist Peter Welchering:
"Das wird einige Zeit und einige Gerichtsprozesse dauern, meinen die Experten. Aber dann wird der Druck der Unternehmen auf die Politik sehr viel stärker werden, als das heute der Fall ist. Denn wenn Vorstände und Geschäftsführer bei IT-Sicherheitsvorfällen zum Teil auch persönlich haften müssen, dann werden sie massiver fordern, dass zum Beispiel Sicherheitslücken gemeldet werden müssen und dann geschlossen werden. Da fehlt heute noch der persönliche Leidensdruck."
